Dans une décision du 14 mai 2020, l’Autorité belge de protection des données (« APD ») a infligé une amende de 50.000 € à une compagnie d’assurance pour défaut de transparence dans sa notice vie privée.
Une plainte avait initialement été déposée par un individu ayant souscrit une assurance hospitalisation auprès de ladite compagnie. Sur la base de la notice vie privée de l’assureur, le plaignant estimait que celui-ci, sans avoir sollicité son consentement préalable, (1) utilisait ses données de santé à d’autres fins que pour l’exécution du contrat d’assurance et (2) les transmettait à des tiers. Il souhaitait également recevoir de l’assureur une analyse d’impact relative à la protection des données.
L’APD concentre son analyse sur les points suivants :
1. L’assureur dispose-t-il de bases de licéité adéquates pour les différents traitements visés dans sa notice vie privée ?
L’APD se penche tout d’abord sur l’article 4.3 de la notice vie privée de l’assureur, qui indique que les données à caractère personnel sont traitées sur la base de son intérêt légitime aux fins suivantes :
L’assureur soutenait qu’il avait bel et bien le droit de réaliser de tels traitements sur la base de son intérêt légitime, en particulier dans la mesure où il ne traitait pas de données de santé pour ces différentes finalités.
L’APD souligne tout d’abord une incohérence entre cette affirmation de l’assureur et le formulaire qu’il utilise pour collecter le consentement des personnes concernées aux traitements de leurs données de santé : l’une des finalités du traitement des données de santé pour lesquelles le consentement est demandé est « la prévention, la détection et l’investigation des fraudes à l’assurance » (voy. infra, point 2).
Outre cette incohérence, l’APD examine si les conditions de l’intérêt légitime comme base de licéité du traitement sont réunies. Ces conditions sont (1) un intérêt légitime, (2) la nécessité du traitement aux fins de la poursuite de cet intérêt légitime et (3) le fait que les droits et libertés fondamentaux de la personne concernée ne prévalent pas.
Sur la base de ces conditions, l’APD estime que l’assureur pouvait valablement s’appuyer sur son intérêt légitime pour la prévention des abus et des fraudes (à l’exclusion des situations où ce traitement implique des données de santé, auquel cas le consentement est requis) et le marketing direct (moyennant le respect du droit d’opposition). Elle considère par contre que pour les autres finalités, l’assureur ne démontre pas en quoi consiste son intérêt légitime et dans quelle mesure celui-ci l’emporterait sur les intérêts et les droits fondamentaux des personnes concernées (alors qu’il y est tenu en vertu du principe d’accountability).
A défaut de pouvoir invoquer l’intérêt légitime, l’APD estime que l’assureur aurait dû collecter le consentement des personnes concernées (de façon distincte pour chacune des finalités).
L’APD se penche ensuite sur l’article 6 de la notice vie privée de l’assureur qui traite du transfert des données à caractère personnel à des tiers. Bien que dans la majorité des cas, la notice vie privée ne précise pas la base de licéité justifiant le transfert, l’APD s’appuie sur les informations fournies par l’assureur durant la procédure de sanction pour évaluer si les bases de licéité choisies sont adéquates. Elle valide ainsi les choix suivants :
L’APD constate toutefois que l’assureur s’appuie sur son intérêt légitime pour le transfert de données aux sociétés de son groupe à des fins de monitoring et de reporting, ainsi que pour le transfert de données à des sous-traitants dans l’Union européenne ou en dehors, chargés des activités de traitement définies par la compagnie d’assurance. Elle estime à cet égard qu’en dépit du principe d’accountability, l’assureur ne démontre pas en quoi consiste son intérêt légitime, ni en quoi celui-ci prévaudrait sur les intérêts et droits fondamentaux des personnes concernées. A défaut, ces transferts auraient dû être basés sur le consentement des personnes concernées.
2. L’assureur a-t-il respecté ses obligations en matière de transparence ?
L’APD estime que l’assureur a manqué à son obligation de transparence pour différentes raisons :
3. L’assureur devait-il réaliser une analyse d’impact et la communiquer aux personnes concernées ?
Le plaignant estimait qu’au regard du caractère risqué du traitement des données de santé, l’assureur était obligé de réaliser une analyse d’impact relative à la protection des données (« AIPD ») et de la lui communiquer.
Suivant la position de l’assureur, l’APD a considère que le traitement existait préalablement à l’entrée en application du RGPD et que rien n’indiquait qu’il ait changé après cette date. L’assureur n’avait donc pas l’obligation de réaliser une AIPD.
Cependant, l’APD rappelle qu’il est de bonne pratique de revoir et de réévaluer régulièrement les AIPD et qu’en conséquence l’assureur sera vraisemblablement amené à devoir réaliser une AIPD au moment opportun.
L’APD souligne par ailleurs que le RGPD n’impose pas la communication des AIPD aux personnes concernées mais qu’il peut être opportun, afin de créer une relation de confiance, d’en publier les éléments les plus importants.
4. Conclusion
Sur la base des manquements identifiés en matière de transparence et de licéité des traitements, ainsi que des manquements en matière d’accountability, l’APD décide d’infliger une amende de 50.000 € à l’assureur.
Il convient de noter que l’APD a, pour déterminer le montant de l’amende, interrogé préalablement l’assureur quant à son chiffre d’affaire des trois derniers exercices et que celui-ci correspondait chaque année à un montant entre 500 à 600 millions d’euros. L’amende correspond donc à 0,0001% du chiffre d’affaires de l’assureur (étant entendu que les amendes peuvent en théorie s’élever à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu).
Cette décision illustre le changement d’attitude de l’APD : il ne s’agit plus désormais de se limiter à accompagner les entreprises dans leur mise en conformité au RGPD, mais également de sanctionner celles dont les efforts ne sont pas suffisants.
A cet égard, l’APD souhaite manifestement rappeler aux responsables de traitement que l’exercice de la transparence n’est pas purement formel : ceux-ci devront donc veiller à passer en revue leurs notices vie privée – parfois élaborées dans l’urgence en prévision de l’entrée en application du RGPD – pour vérifier notamment que la base de licéité associée à chaque finalité (et à chaque transfert) est identifiée et que les intérêts légitimes invoqués sont suffisamment explicités.